以前の名前:
動作条件: --enable-ssl
デフォルト値: none
提案された設定:
sslproxy_cert_adapt <adaptation algorithm> acl ...
次の証明書の適応アルゴリズムがサポートされています。:
- setValidAfter
- CA証明書によってサインが生成された証明書に"Not After"プロパティをセットします。
- setValidBefore
- CA証明書によってサインが生成された証明書に"Not Before"プロパティをセットします。
- setCommonName または setCommonName{CN}
- CNパラメータとして指定されたホスト名か、明示的なCNパラメータが指定されていない場合は、CONNECT要求から抽出で Subject.CN プロパティをセットします。
インターセプトのために、設定ミスで明示的なパラメータなしの setCommonName を使用するか、tproxied SSLのためです。
これは、高速のACLタイプがサポートされています。
Squidのsslproxy_cert_adaptオプションは、最初のグループでの適応アルゴリズムです。
グループ内では、sslproxy_cert_adapt acl(s)が一致すると、Squidは対応する適合アルゴリズムを使用して証明書を生成し、そのアルゴリズムのグループ内のすべての後続ssllproxy_cert_adapt のオプションを無視します。
いずれのacl(s)も一致しない場合は、デフォルトの模倣行為が行われます。
警告: Squidがドメイン名でバンピングの 接続(CONNECT)要求をしている場合、QUID_X509_V_ERR_DOMAIN_MISMATCH と ssl:certDomainMismatch は、sslproxy_cert_adaptで使用することができます。
しかし、他の全ての場合において(IPアドレスを使った接続やインターセプトされたSSL接続)、bump-server-firstが利用されてもSquidは証明書の生成時にドメインのミスマッチを発見できない。